SSO セットアップ-ADFS (SAML 2.0)

試用版またはSSO機能を購読するには、この お問い合わせフォームにご 記入ください。

Splashtopでは、SAML 2.0アイデンティティプロバイダから作成された認証情報を使用して、 my.splashtop.com および Splashtopビジネスアプリ へのログインがサポートされるようになりました 。AD FS で証明書利用者信頼を作成するには、以下の手順に従ってください。

AD FS を使用した証明書利用者信頼の作成

証明書利用者信頼を作成するには、マイクロソフトのドキュメントに従ってください。[ 証明書利用者信頼を手動で作成するには ] セクションのみをチェックしてください。
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

ドキュメントの手順 1 ~ 6 に従います。( AD FS 2.0 プロファイルの 選択)

手順 7 の [ URL の構成 ] ページで、[ SAML 2.0 WebSSO プロトコルのサポートを有効にする ] チェックボックスをオンにします。[証明書利用者の SAML 2.0 SSO サービスの URL] に " https://my.splashtop.com/sso/saml2/adfs/acs と入力し "、[次へ] をクリックします。
Snag_221e174e.png

手順 8 の [ 識別子の設定 ] ページで、 https://my.splashtop.com https://my.splashtop.com/sso/saml2/adfs/metadata を追加します。
Snag_131d4984.png

クレームを追加する

1.作成した [証明書利用者信頼] を選択し、[ 保険請求ポリシーの編集 ] をクリックします。

2.[ルールの追加] をクリックし、[ LDAP 属性を要求として送信 ] を選択し、次に [次へ] をクリックします。
Snag_10ea6f20.png

3.[属性ストア] として [ Active Directory ] を選択し、[ 電子メールアドレス ] と [ ユーザープリンシパル名 ] を追加します。
電子メールアドレス : 電子メールアドレス
ユーザープリンシパル名 : 名前 ID
Snag_10f02335.png

トラブルシューティング

ログイン時にこのエラーメッセージが表示される場合は、ADFS ログを確認してください。

Screen_Shot_2020-04-21_at_12.53.05_PM.png

以下の ADFS ログに同様のエラーがある場合は、LDAP 要求ルールから「User-Principal-Name」と「Name ID」の間のマッピングを削除してください。

例外の詳細:

Microsoft.IdentityServer.Service.PolicyServer.Engine.重複名識別子ポリシー例外:MSIS3046: スコープ 'https://my.splashtop.com' のポリシーを処理した後、複数の SAMLNameIdentifierクレームリソースベースの要求が生成されました。

で Microsoft.IdentityModel.Threading.AsyncResult.End (iAsyncResult結果)

at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.end (iAsyncResult結果)

で Microsoft.IdentityServer.Web.wstrust.SecurityTokenサービス管理.Issue (要求セキュリティトークン要求、ILIST`1 & アイデンティティークレームセット、リスト`1 追加クレーム)

で Microsoft.IdentityServer.Web.wstrust.Securityトークンサービス管理.問題 (要求セキュリティトークン要求、リスト`1 追加クレーム)

at Microsoft.IdentityServer.web.protocols.samlProtocolManager.Issue (httpsSAMLRequestMessage HttsamlRequestMessage, SecurityTokenElement OnBehoff, String SessionState, String & NewsamlSession, String SAMl& AuthenticationProvider, Boolement), Boolean IsurlTranslTranslTranslTranslationNeededed,ラップされたDhtPlistenerContext コンテキスト、ブール型 ISKMSIリクエスト)

at Microsoft.IdentityServer.Web.Protocols.samlProtocolHandler.RequestBearerToken (ラップされたDHTTplistenerContext, httpsSAMLRequestMessage HttsSAMLRequest, SecurityTokenElement OnBehaloff, 文字列参照パーティ識別子, ブール値ISKMSiRequestBearRequestBearRequestIdentifier, ブール値アプリケーションプロキシトークン必須, 文字列 &SAMLPSセッション状態、文字列& SAMLPS認証プロバイダー)

at Microsoft.IdentityServer.Web.protocols.samlProtocolHandler.BuildSignInResponseCoreWithSerializedToken (httpsSAMLRequestMessage HttpsSAMLRequest, wrappedTplistenerContext, String RelyingPartyIdentifier, SecurityTokenElement Signment), Boolement SignonTokenIsApplicationProxyToken必須)

at Microsoft.IdentityServer.Web.Protocols.samlProtocolHandler.BuildSignInResponseCoreWithSecurityToken (SAMLSigninContext, SecurityToken SecurityToken, SecurityToken DeviceSecurityToken)

Microsoft.アイデンティティーサーバー.Web.プロトコル.samlプロトコルハンドラー.プロセス (プロトコルコンテキストコンテキスト)

at Microsoft.IdentityServer.Web.PassiveProtocollistener.ProcessProtocolRequest (プロトコルコンテキスト、パッシブプロトコルハンドラ)

at Microsoft.IdentityServer.web.PassivePrototoCollistener.ongetContext (wrappedhtPlistenerContext)

別の申し立てを追加する

1.要求ルールテンプレートを使用して別のルールを追加します。 受信要求を変換 します。
Snag_10f387cc.png

2.名前 ID を設定します。
受信要求の種類 : 電子メールアドレス
送信要求の種類 : 名前 ID
送信名 ID 形式 : 電子メール
Snag_10fae02b.png

 

 

my.splashtop.comからSSOメソッドを申請する

これで、指示に従って SSO メソッドを申請するために必要な情報を挿入できます。
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

注:

a. my.splashtop.comに挿入するには、独自のログインURLと発行者が必要です。
b. 以下の指示に従って、 X.509 情報 を取得し、my.splashtop.com に挿入します。

右側の [操作] メニューの [サービス] → [証明書] → [証明書の> 表示] をクリックします。>(証明書を使用して IIS を既にインストールする必要があります)。[
証明書] ウィンドウで [詳細] をクリックし、[ファイルにコピー] をクリックします。」4、[Base-64 encoded X.509] を選択します。

Snag_110f7b12.png

エクスポートされた証明書を右クリックし、my.splashtop.comの対応するフィールドに情報をコピーします。
snag_130eAAF.png

Snag_130f3370.png

 

0人中0人がこの記事が役に立ったと言っています